|
қуришнинг намунавий схемаси.
Маршрутизаторлар асосида VPNларни қуришда есда тутиш лозимки,
бундай ёндашишнинг ўзи компаниянинг умумий ахборот ҳавфсизлигини
таъминлаш муаммосини ҳал етмайди, чунки барча ички ахборот ресурслар
барибир ташқаридан хужум қилиш учун очиқ қолади. Бу ресурсларни
ҳимоялаш учун, одатда, чегара маршрутизаторларидан кейин жойлашган
тармоқлараро экранлардан фойдаланилади.
Cisco 1720 VPN Аccесс Роутер маршрутизатори катта бўлмаган ва
ўртача корхоналарда ҳимояланган фойдаланишини ташкил этишга аталган.
Бу маршрутизатор Интернет ва интратармоқлардан фойдаланишни
ташкил этишга зарур бўлган имкониятларни таъминлайди ва CiscoIOS
дастурий таъминот асосидаги виртуал хусусий тармоқларни ташкил этиш
вазифаларини
қўллаб-қувватлайди.
CiscoIOS
операцион
тизими
маълумотларни ҳимоялаш, хизмат сифатини бошқариш ва юқори
ишончилиликни таъминлаш бўйича VPN вазифаларининг жуда кенг
тўпламини таъминлайди.
Cisco 1720 маршрутизатори маълумотлар ҳимоясининг қуйидаги
вазифаларини бажаради:
- тармоқлараро экранлаш. CiscoIOS FireWall компонента локал
тармоқларни хужумлардан ҳимоялайди. Фойдаланишнинг контекстли
назорати CBAC (Context-based access control) функцияси маълумотларни
динамик ёки холатларга асосланган, иловалар бўйича дифференциалланган
филтрлашни бажаради. Бу функция самарали тармоқлараро экранлаш учун
жуда муҳим ҳисобланади. CiscoIOS FireWall компонента қатор бошқа
фойдали вазифаларни ҳам, хусусан, "хизмат қилишдан воз кечиш" каби
хужумларни аниқлаш ва олдини олиш, Жавани блокировка этиш, аудит ва
вақтнинг реал масштабида огоҳлантиришларни тарқатиш вазифаларини
бажаради.
-
вақтнинг
реал
масштабида
огоҳлантиришларни
тарқатиш
вазифаларини бажаради.
- шифрлаш. IPСеc протоколидаги DES вa Triple DES шифрлаш
алгоритмларини қўллаб қувватлаш маълумотларни конфиденциаллиги ва
яхлитлигини ва маълумотлар манбаини аутентификациялашни (маълумотлар
глобал тармоқдан ўтганидан сўнг) таъминлаш мақсадида ишончли ва
стандарт шифрлайди.
- туннеллаш. Туннеллашнинг IPСеc, ГРЕ (Generic Routing Encapsulation),
L2F вa L2TP стандартлари ишлатилади. L2F вa L2TP стандартлари
масофадаги фойдаланувчиларнинг корхона локал тармоғида ўрнатилган
Cisco 1720 маршрутизаторгача виртуал туннел ўтказганларида ишлатилади.
Бундай қўлланишда корхонада масофадан фойдаланиш серверига
еҳтиёж қолмайди ва шаҳарлараро ёки халқаро қўнғироқлар учун тўлови
тежалади.
- қурилмаларни аутентификациялаш ва калитларни бошқариш. IPСеc
катта тармоқларда маълумотлар ва қурилмаларни масштабланувчи
аутентификациялашни таъминловчи калитларни бошқариш протоколи IKE,
рақамли сертификатлар Х.509 версия 3, сертификатларни бошқарувчи
протокол CEP, ҳамда Verisign вa Entrust компания сертификат серверлари ма-
дадланади.
-
VPNнинг
мижоз
дастурий
таъминоти.
IPСеc
ва
L2TP
протоколларининг стандарт версиялари билан ишловчи ҳарқандай мижоз
CiscoIOSбилан ўзаро алоқа қилиши мумкин.
- фойдаланувчиларни аутентификациялаш. Бунинг учун PAP, CHAP
протокллари, TACACSQ вa RADIUS тизимлари, фойдаланиш токенлари каби
воситалардан фойдаланилида.
Виртуал ҳимояланган тармоқлар нафақат маълумотларни ҳимоялаш,
балки ҳимоялашнинг юқори савияси QoS ни (Quality of Service) таъминлаши
лозим. Cisco 1720 маршрутизатори QoS ни қуйидаги бошқариш
механизмларини қўллаб-қувватлайди:
- фойдаланишнинг келишилган тезлиги CAR (Committed Access Rate)
иловалар ёки фойдаланувчилар базасида қуйидаги учта муҳим вазифани
бажаради:
• трафик турини туркумлайди;
• берилган иловага рухсат этилган ўтказиш қобилиятининг максимал
даражасини ўрнатади;
• трафикнинг ҳар бир тури устиворлигини белгилайди;
- сиёсат асосида маршрутлаш (Policy Routing) ҳам трафикни
туркумлайди ва устиворлайди ҳамда трафикнинг қайси турини
маршрутизаторнинг мос чиқиш йўли портига жўнатиш лозимлигини ҳал
этади;
- мулоҳазали одилона навбат WFQ (Weighted Fair Queneing) трафикни
ҳисобга олган ҳолда мақбул жавоб вақтини таъминлайди;
-
протокол RSVP иловаларга йўлнинг бошидан охиригача
кафолатланган ўтказиш қобилиятини резервлашга имкон беради.
Маршрутизаторнинг мослашувчанлиги модулли конструксия ва иккита
слотда
ўрнатилувчи
интерфейс
WАН-карталари
тўплами
орқали
таъминланади. Cisco 1720 моделида Cisco 1600, 2800, ва 3600 моделларда
ишлатиладиган WАН-карталардан фойдаланилади.
Компания 3Cом VPN технологияни амалга оширишда бошидан
стандартларни кўзга тутган эди. VPN ни қўллаб қувватлаш унинг NetBuilder
II, Super Stack II NetBuilder маршрутизаторларига Office Connect Net Builder
Platform ларида ўрнатилган.
3Cом компанияси PPTP ва Л2ТП протоколларни қўллаб қувватловчи
масофадан
фойдаланилувчи
консентраторларни
йирик
ишлаб
чиқарувчиларидан биридир. 3Cом компаниясининг VPN тармоқлари IPСеc
билан бирга ишлатилади ва ташқи каталоглар, жумладан Novell NDS ва
Windows NT Directo-ry Services лар билан ўзаро алоқа қилиш учун ишлаб
чиқилган.
Компания Web-технологияга асосланган ва VPN юкланганлигини
назоратлашга, ҳамда юз берувчи ходисалар асосида статистика ва ахборотни
йиғишга аталган дастурий илова Transcend Ware Secure VPNManager ни ҳам
ишлаб чиқди. Ундан ташқари 3Cом крипто ҳимояланган туннелларни
осонгина яратишга имкон берувчи Web асосидаги инструментар
воситаларини ишлаб чиқаради
3
.
Интернет Девиcес компаниясининг Fort Knox маршрутизаторларида
тезлик ва қувват уйғунлашган. Ундаги тармоқни ҳимоялашни таъминлашга
йўналтирилган IP-трафикни ишлаш вазифалари руйхатининг кенглиги унинг
афзаллигидир. Fort Knox маршрутизатори тармоқлараро экран режимида
ишлаши, НАТ стандарти бўйича адресларни трансляциялаши, ҳавфсизлик
сиёсатини бошқариши, Web-саҳифалар ва DNS жадвал ёзувларини кешлаши,
аудитни бажариши мумкин. Одатда Fort Knox корпоратив тармоқ чегарасида,
корпоратив тармоқни глобал тармоқ билан уловчи маршрутизатордан кейин
ўрнатилади. Демак, у бошқа локал тармоқлар билан VPN-алоқани ўрнатиш ва
тармоқлараро экранлар каби фойдаланишни назоратлашнинг турли
қоидаларини шакллантириши мумкин. Форт Кнохда НАТ адресларини
трансляциялаш функциясининг мавжудлиги, унга ички IP-адресларни
беркитиш ва маршрутизаторлар трафигини қайта йўналтириш имконини
беради. Бу корпоратив тармоқ маъмурларини VPN ни қуришда
маршрутизаторларни янгидан конфигурациялашдан озод этади. Fort Knox
функциялари тўпламининг кенглигига қарамай унинг нархи оддий маршру-
тизатор нархига тенг.
Do'stlaringiz bilan baham: | 
